Nhóm giải pháp về quản trị rủi ro

Một phần của tài liệu 1103 phát triển dịch vụ thẻ tại NH nông nghiệp và phát triển nông thôn việt nam luận văn thạc sĩ kinh tế (Trang 94 - 99)

Ngày nay cùng với sự phát triển của khoa học công nghê, thẻ thanh toán ngày càng phát sinh nhiều rủi ro tổn thất do tội phạm ngày càng tinh vi. Bằng nhiều hình thức, tội phạm công nghệ cao ăn cắp dữ liệu thẻ của chủ thẻ để sản xuất thẻ giả, gian lận trong các giao dịch thẻ, mua bán dữ liệu đen, v.v... đã gây ra rất nhiều tổn thất cả cho chủ thẻ và ngân hàng. Ớ Việt Nam, năm 2009 bộ công an đã phanh phui hơn 40 ngàn vụ án công nghệ cao gây thiệt hại hàng nghìn tỷ đồng cho các cá nhân và doanh nghiệp. Cũng dễ dàng nhận thấy xu hướng chuyển “địa bàn” của bọn tội phạm sang thị trường thẻ Việt Nam nhằm hướng tới một thị trường nhiều tiềm năng và còn rất non trẻ. Cách thức được sử dụng là lợi dụng khách giao dịch trên các website đã bị hacker tấn công để ăn cắp thông tin về tài khoản, thẻ, v.v... Chính vì vậy, việc tăng cường công tác quản trị rủi ro trong chiến lược kinh doanh thẻ đến năm 2015 là yêu cầu tất yếu. Một số giải pháp mang tính cấp bách như sau:

- Áp dụng các chương trình quản lý rủi ro theo yêu cầu bắt buộc của các TCTQT như:

Chương trình SAFE (System to Avoid Fraud Effectively): SAFE là chương trình Online giúp các ngân hàng thành viên truy cập để báo cáo các giao dịch gian

lận, giả mạo dẫn đến tranh chấp đòi bồi hoàn giữa NHPH và NHTT.

Chương trình GMAP (Global Merchant Audit Program): GMAP nhằm mục đích theo dõi các ĐVCNT có giao dịch gian lận, giả mạo. GMAP giúp giảm thiểu các tổn thất do giao dịch gian lận bằng việc xác định các ĐVCNT có số lượng giao dịch gian lận vượt mức cho phép và từ đó TCTQT sẽ đưa ra các yêu cầu tới NHTT chấm dứt hoạt động thanh toán thẻ của ĐVCNT hoặc phải chấp nhận những tổn thất do tranh chấp bồi hoàn của NHPH. Đối với từng cấp

độ rủi ro, TCTQT sẽ yêu cầu NHTT phải có những hành động cụ thể đối với đơn vị chấp nhận thẻ.

Chương trình MATCH (Merchant Alert to Control High Risk): MATCH được xây dựng nhằm mục đích lưu trữ các thông tin về ĐVCNT đã bị các NHTT chấm dứt hoạt động thanh toán thẻ do có liên quan đến rủi ro. Các NHTT trước khi ký kết hợp đồng với ĐVCNT thực hiện truy cập MATCH để kiểm tra ĐVCNT có nằm trong danh sách ĐVCNT có tiềm năng rủi ro cao.

Chương trình CPP (Common Purchasing Point): CPP nhằm xác định các ĐVCNT mà tại đó đã phát sinh việc sao chép dữ liệu thẻ nhằm hạn chế các giao dịch gian lận thẻ phát sinh. NHTT phải báo cáo kết quả kiểm tra tới NHPH và TCTQT, và có những hành động phù hợp như: chấm dứt chấp nhận thanh toán thẻ với ĐVCNT, phạt ĐVCNT về việc vi phạm quy định bảo mật dữ liệu thẻ, v.v...

Các chương trình này được thực hiện dưới chế độ báo cáo hàng quý nhằm kiểm soát những dấu hiệu rủi ro có thể có.

Tiêu chuẩn PCI DSS (Payment Card Industry Data Security Standard) “Tiêu chuẩn bảo mật dữ liệu thẻ thanh toán” được 5 TCTQT là Visa, MasterCard, JCB, Dinner Club, Amex đồng sáng lập trong một nỗ lực bảo vệ thông tin chủ thẻ, phòng ngừa gian lận, ngăn chặn các xâm nhập trái phép và những nguy cơ về an ninh. Bộ tiêu chuẩn bảo mật PCI DSS gồm 12 yêu cầu dựa trên 6 nguyên tắc chính gồm:

O Xây dựng và duy trì một mạng lưới an toàn

O Bảo mật dữ liệu chủ thẻ

O Duy trì chương trình quản lý rủi ro

O Triển khai các biện pháp kiểm soát truy cập

O Thường xuyên giám sát kiểm tra các hệ thống

Các tiêu chuẩn này áp dụng cho tất cả các tổ chức lưu trữ, xử lý và vận chuyển dữ liệu thẻ. Việc tuân thủ PCI DSS là bắt buộc với các ngân hàng, được chịu trách nhiệm quản lý bởi 5 sáng lập viên. Đây là một trong nhiều phương pháp phòng ngừa rủi ro, ngân hàng nên thực hiện nghiêm túc và có chế độ giám sát chặt chẽ với những cán bộ có liên quan.

- Đầu tư nâng cao công nghệ trong lĩnh vực phòng ngừa rủi ro thẻ. Hiện nay, các NHTM trên thế giới nói chung và các NHTM nói riêng coi việc phát hành thẻ chip như một xu hướng tất yếu phù hợp với nhu cầu và tốc độ phát triển của thị trường thẻ bởi phát hành thẻ chip EMV và đồng bộ hóa các thiết bị vốn được coi như một biện pháp nhằm giảm thiểu rủi ro do gian lận thẻ. Tuy nhiên, khi tội phạm thẻ chuyển hướng tấn công sang các giao dịch không xuất trình thẻ (CNP) thì việc sử dụng thẻ chip không còn giữ được trọn vẹn giá trị bảo mật như người ta vẫn mong đợi nữa. Mật khẩu tĩnh chỉ có tính tương đối khi bảo vệ khách hàng trong các giao dịch trực tuyến bởi người ta phát hiện ra rằng mối liên hệ thông tin giữa các ĐVCNT, ngân hàng và bên thứ ba vẫn có nhiều lỗ hổng do khối lượng thông tin lưu chuyển giữa các bên là quá nhiều. Công nghệ 3D Sercue (3DS) được các TCTQT một lần nữa khuyến cáo các ngân hàng thành viên sử dụng các biện pháp chứng thực cho cả chủ thẻ và thiết bị thông qua SercueCode của MasterCard và Verify by Visa. Việc triển khai các giải pháp chứng thực hai nhân tố dựa trên những gì người dùng biết (mật khẩu) kết hợp với những gì mà họ có trong tay (token, điện thoại cầm tay) trở nên hết sức quan trọng. Mật khẩu truyền thống không đủ mạnh để đảm bảo an ninh cho thông tin được truyền tải trong các giao dịch trực tiếp. Đây chính là một công nghệ hiện đại mà các khách hàng đang tìm kiếm để tự bảo vệ mình, ngân hàng có trách nhiệm nghiên cứu và phát triển nó dưới nhiều hình thức khác nhau.

- Xây dựng hệ thống cảnh báo sớm căn cứ vào những tiêu chí như: số lần giao dịch, giá trị giao dịch, địa điểm và thời gian giao dịch, v.v... đối với

cả chủ thẻ và các thiết bị ATM/EDC. Hệ thống phân tích rủi ro (FA- Fraud Analyzer) có khả năng thiết lập hệ thống, tạo ra các thuật toán riêng rẽ để xử lý online một số lượng lớn các giao dịch và các thông tin liên quan đến khách hàng, thẻ và tài khoản. Như đã nói ở trên về một hệ thống quản trị rủi ro chủ động, việc ngân hàng xây dựng cho riêng mình một hệ thống cảnh báo riêng trên cơ sở tham khảo các tiêu chí sẵn có từ các TCTQT có nhiều năm kinh nghiệm trong lĩnh vực kinh doanh thẻ giúp ngân hàng xây dựng các báo cáo đánh giá với những tiêu chí gần gũi hơn phù hợp với thực tế nghiệp vụ thẻ của ngân hàng. Ví dụ như:

+ Số lượng các yêu cầu chuẩn chi tăng so với mức thông thường của đơn vị chấp nhận thẻ.

+ Doanh số bán hàng của ĐVCNT tăng đột biến (loại trừ trường hợp ĐVCNT tổ chức các chương trình khuyến mãi).

+ Số tiền/giao dịch, số lượng giao dịch tại ĐVCNT tăng.

+ Giao dịch vào các giờ nhạy cảm: Theo dõi các ĐVCNT có giời giao dịch bất thường, cảnh báo các giao dịch xảy ra vào các giờ nhạy cảm như giờ đóng, mở cửa của ĐVCNT.

+ ĐVCNT không hoạt động thanh toán: Các ĐVCNT không phát sinh giao dịch trong một khoảng thời gian.

+ Giao dịch hoàn trả: Các ĐVCNT có số lượng giao dịch hoàn trả lớn + Giao dịch yêu cầu chuẩn chi bị từ chối.

Một số tiêu chí áp dụng để cảnh báo cho chủ thẻ đối với NHPH bao gồm: + Giao dịch thẻ nhập sai PIN liên tiếp.

+ Giao dịch thẻ vượt quá hạn mức. + Giá trị giao dịch lớn.

+ Giao dịch thẻ phát sinh tại các nước khác nhau trong thời gian ngắn. + Giao dịch thẻ bị từ chối liên tiếp, v.v...

Các báo cáo đánh giá không chỉ dừng lại ở việc nhận diện rủi ro và những biến cố tiềm tàng rủi ro mà cần phải mở rộng hơn nữa đối với những tiêu chí đánh giá thiệt hại và tổn thất có thể xảy ra.

- Xây dựng cơ chế giám sát nội bộ thông qua việc hoàn thiện các quy trình nghiệp vụ thẻ và quy chế bảo mật dữ liệu thẻ. Các quy trình này cần được thường xuyên rà soát, cập nhật thông tin, hạn chế những kẽ hở khi áp dụng vào thực tế. Tách bạch giữa in PIN, gửi PIN và cá thể hóa thẻ, gửi thẻ, áp dụng các tiêu chuẩn khắt khe để giảm thiểu rủi ro phát sinh trong khâu phát hành thẻ. Hiện nay PIN và thẻ được gửi cách nhau sau vài ngày, mục đích là để phong bì đựng thẻ và phong bì đựng PIN không tới cùng lúc và không đồng thời nằm trong một bì thư. Các công nghệ in PIN hiện đại áp dụng các kỹ thuật có một hoặc nhiều nhãn. Các nhãn này có thể có các tính năng bảo mật đặc biệt như hologram, nhãn bóc hoặc nhãn phủ kim loại. Tất cả loại nhãn này đều nhằm mục đích để PIN không thể nhìn thấy được và nếu bị xâm hại thì sẽ để lại dấu vết rõ ràng (tamper-evident). Tuy nhiên, cần nâng cao hơn nữa tính bảo mật của các phong bì này trước khi gửi đến nhà cung cấp dịch vụ bưu chính đồng thời yêu cầu cam kết bảo đảm tính nguyên vẹn của các bưu phẩm trong quá trình phân loại và vận chuyển.

- Tăng cường tư vấn, hướng dẫn khách hàng nhằm nâng cao nhận thức về sử dụng và bảo quản thẻ cũng như thông tin giao dịch thẻ thông qua các kênh thông tin như giao dịch viên tư vấn tại quầy, cung cấp thông tin qua email, điện thoại tư vấn hỗ trợ, v.v... Dựa trên sản phẩm thẻ khách hàng đăng ký sử dụng cần có sự tư vấn cụ thể rõ ràng về cách thức sử dụng, một số lưu ý về bảo mật cùng với các dịch vụ giá trị gia tăng kèm theo. Các thông tin này phải được coi như là bắt buộc đối với mỗi tư vấn viên chăm sóc khách hàng nhằm truyền đạt tới khách hàng lượng thông tin đầy đủ và chính xác nhất, tăng cường nhận thức của khách hàng về việc sử dụng thẻ. Ví dụ như với những khách hàng sử dụng thẻ tín dụng cần kiểm soát các thông tin sao kê,

lưu trữ hóa đơn giao dịch, thực hiện ký tên trên thẻ... Hoặc với những khách hàng sử dụng dịch vụ e-commerce ngoài việc hướng dẫn đăng ký dịch vụ thông báo về hạn mức và phí phải trả, nhân viên tư vấn nên khuyến cáo khách hàng về các thông tin bảo mật trên thẻ như số thẻ, ngày hết hạn hiệu lực, số CCV2/CVV2, lưu ý các thông tin cá nhân khai báo trên trang web, e-mail, message board...

- Trang bị lắp đặt các thiết bị phòng chống sao chép thông tin chủ thẻ tại toàn bộ thiết bị đầu cuối như ATM/EDC. Những bài học về gian lận thẻ tại các nước trên thế giới với rất nhiều mánh lới Phishing để ăn cắp dữ liệu buộc chúng ta phải tăng cường hơn nữa công tác quản lý các thiết bị ATM/EDC.

- Thường xuyên đào tạo, tập huấn quy trình chấp nhận thẻ cho ĐVCNT để phát hiện sớm các giao dịch thẻ giả mạo tại ĐVCNT.

Một phần của tài liệu 1103 phát triển dịch vụ thẻ tại NH nông nghiệp và phát triển nông thôn việt nam luận văn thạc sĩ kinh tế (Trang 94 - 99)

Tải bản đầy đủ (DOCX)

(112 trang)
w